下列哪些形式的审计证据就被视为最可靠

《下列哪些形式的审计证据就被视为最可靠》由会员分享，可在线阅读，更多相关《下列哪些形式的审计证据就被视为最可靠（20页珍藏版）》请在装配图网上搜索。

1、1.下列哪些形式的审计证据就被视为最可靠?口头声明的审计由审计人员进行测试的结果组织内部产生的计算机财务报告从外界收到的确认来信2. 当程序变化是，从下列哪种总体种抽样效果最好？测试库清单源代码清单程序变更要求产品库清单3. 在对定义 IT 服务水平的控制过程的审核中，审计人员最有可能面试：系统程序员 .法律人员业务部门经理应用程序员 .4. 进行符合性测试的时候，下面哪一种抽样方法最有效？属性抽样变量抽样平均单位分层抽样差别估算5. 当评估一个过程的预防控制、检察控制和纠正控制的整体效果时，审计人员应该知道：当数据流通过系统时，其作用的控制点。只和预防控制和检查控制有关.纠正控制只能算是补偿

2、.分类有助于审计人员确定哪种控制失效6. 审计人员在对几个关键服务进行审计的时候，想要通过分析审计轨迹的方法发现潜在的用户或系统行为异常。下列哪些工具最适合从事这项工作?计算机辅助开发工具（case tool）嵌入式（ embedded ）数据收集工具启发扫描工具（heuristic scanning tools ）趋势 / 变化检测工具7. 在应用程序开发项目的系统设计阶段，审计人员的主要作用是：建议具体而详细的控制程序保证设计准确地反映了需求确保在开始设计的时候包括了所有必要的控制开发经理严格遵守开发日程安排8. 下面哪一个目标控制自我评估 (CSA)计划的目标 ? 关注高风险领域替换审计

3、责任完成控制问卷促进合作研讨会Collaborative facilitative workshops9. 利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证：充分保护信息资产根据资产价值进行基本水平的保护对于信息资产进行合理水平的保护根据所有要保护的信息资产分配相应的资源10. 审计轨迹的主要目的是：改善用户响应时间确定交易过程的责任和权利提高系统的运行效率为审计人员追踪交易提供有用的资料11. 在基于风险为基础的审计方法中，审计人员除了风险，还受到以下那种因素影响：可以使用的CAATs管理层的陈述组织结构和岗位职责.存在内部控制和运行控制12. 对于组织成员使用控制自我评估

4、(CSA)技术的主要好处是：可以确定高风险领域，以便以后进行详细的审查使审计人员可以独立评估风险可以作来取代传统的审计使管理层可以放弃relinquish 对控制的责任13. 下列哪一种在线审计技术对于尽早发现错误或异常最有效?嵌入审计模块综合测试设备Integrated test facility快照 sanpshots审计钩 Audit hooks14. 当一个程序样本被选中要确定源代码和目标代码的版本一致性的问题时，审计人员会用下面哪一种测试方法？对于程序库控制进行实质性测试对于程序库控制进行复合性测试对于程序编译控制的符合性测试对于程序编译控制的实质性测试15. 在实施连续监控系统时，

5、信息系统审计师第一步时确定：合理的开始（ thresholds ）指标值组织的高风险领域输出文件的位置和格式最有最高回报潜力的应用程序16. 审计计划阶段，最重要的一步是确定：高风险领域审计人员的技能审计测试步骤审计时间17. 审计师被对一个应用系统进行实施后审计。下面哪种情况会损害信息系统审计师的独立性？审计师：在应用系统开发过程中，实施了具体的控制设计并嵌入了专门审计这个应用系统的审计模块作为应用系统的项目组成员，但并没有经营责任为应用系统最佳实践提供咨询意见18. 审计中发现的证据表明，有一种欺诈舞弊行为与经理的帐号有关。经理把管理员分配给他的密码写在纸上后，存放在书桌抽屉里。IS 审计

6、师可以推测的结论是：经理助理有舞弊行为不能肯定无疑是谁做的肯定是经理进行舞弊系统管理员进行舞弊19. 为确保审计资源的价值分配给组织价值最大的部分，第一步将是：制定审计日程表并监督花在每一个审计项目上的时间培养审计人员使用目前公司正在使用的最新技术根据详细的风险评估确定审计计划监督审计的进展并开始成本控制措施20. 审计师在评估一个公司的网络是否可能被员工渗透， 其中下列哪一个发现是审计师应该 最重视的？有一些外部调制解调器连接网络用户可以在他们的计算机上安装软件网络监控是非常有限的许多用户帐号的密码是相同的21. 信息系统审计师在控制自我评估(CSA)中的传统角色是：推动者（ facilit

7、ator ）经理伙伴股东22. 下面哪一种审计技术为 IS 部门的职权分离提供了最好的证据：与管理层讨论审查组织结构图观察和面谈测试用户访问权限23. IS 审计师应该最关注下面哪一种情况？缺少对成功攻击网络的报告缺少对于入侵企图的通报政策缺少对于访问权限的定期审查没有通告公众有关入侵的情况24. 审计人员审计网络操作系统。下面哪一个是审计人员应该审计的用户特征？可得到在线网络文档支持终端访问远程主机处理在主机和内部用户通信之间的文件传输执行管理，审计和控制25. 审计师使用不完整的测试过程得出不存在重大错误的结论，这种做法的风险实质上是：固有的风险 .控制风险检查危险审计风险26.审计章程应

8、采取：是动态的和经常变化的，以便适应技术和和审计专业（professional ）的改变清楚的说明审计目标和授权，维护和审核内部控制文档化达到计划审计目标的审计程序列出对审计功能的所有授权，范围和责任27.审计师已经对一个金融应用的数据完整性进行了评估，下面哪一个发现是最重要的?应用程序所有者不知道 IT 部门对系统实施的一些应用应用数据每周只备份一次应用开发文档不完整信息处理设施没有受到适当的火灾探测系统的保护28.IS 审计功能的一个主要目的是：确定每个人是否都按照工作说明使用IS 资源确定信息系统的资产保护和保持数据的完整性对于计算机化的系统审查帐册及有关证明文件确定该组织识别诈骗fra

9、ud 的能力29. 进行审计的时候，审计师发现存在病毒，IS 审计师下一步应该做什么？观察反应机制病毒清除网络立即通知有关人员确保删除病毒30. 审计章程的的主要目标是：A 记录企业使用的审计流程B 审计部门行动计划的正式文件C 记录审计师专业行为的行为准则说明审计部门的权力和责任。31. 在对程序的安全性审计过程中，审计师发现没有文件记录安全程序，该审计员应该：建立程序文件终止审计进行一致性测试鉴定和评估现行做法32. 在风险分析期间，审计师已经确定了威胁和潜在的影响，下一步审计师应该：确定并评估管制层使用的风险评估过程确定信息资产和受影响的系统发现对管理者的威胁和影响鉴定和评估现有控制.3

10、3. 下面哪一项用于描述（整体测试法）最合适？这种方法使 IS 审计师能够测试计算机应用程序以核实正确处理利用硬件和或软件测试和审查计算机系统的功能这种方法能够使用特殊的程序选项打印出通过计算机系统执行的特定交易的流程IS 系统审计师用于测试的一种程序，可以用于处理tagging 和扩展交易和主文件记录。34. IS 审计师要判断是否严格控制被授权者对于程序文档的访问，最有可能的做法是：评估在存储场所的文件保存计划就当前正在进行的流程采访程序员对比实际使用的记录和操作表审查数据文件访问记录测试管理库的功能35. 下面哪一种 IT 治理是提高战略联盟（ alignment ）的最佳做法？供应商和

11、合作伙伴的风险管理 .基于客户、产品、市场、流程的知识库实施到位.提供有利于于建立和共享商业信息的组织结构.高层之间对于业务和技术责任的协调36. 建立可接受的风险水平的责任属于：质量保证经理 .高级业务管理 . CIO 首席信息主管 .首席安全主管37. 作为信息安全治理成果，战略联盟提供：企业需求驱动的安全要求 .按照最佳实践制定的安全基线专门的或客户定制的解决方案了解风险 .38.如果缺乏高层管理人员对于战略计划的许诺（commitment ），最可能的后果是:缺乏技术投资 .缺乏系统开发的方法 .技术与组织目标不一致.缺乏对于技术合同的控制.39.用自下而上的方法来开发组织政策的优势在

12、于这样开发的政策:为组织整体而指定 .更可能来自于风险评估的结果.与企业整体政策不会冲突.确保整个组织的一致性40. IS 审计师发现并不是所有的员工都知道企业的信息安全政策 . IS 审计师可以得出的结论是：这种无知有可能导致意外泄漏敏感资料信息安全并非对所有功能都是关键的.IS 审计师应该为员工提供安全培训.D 审计结果应该使管理者为员工提供持续的培训。41. 有效的 IT 治理应该确保 IT 计划符合组织的 :业务计划 .审计计划 .安全计划 .投资计划 .42. 当通信分析人员进行下面哪一项的时候，IS 审计师应该给予重点关注？监测系统性能，追踪程序变动导致的问题根据当前和未来的交易量

13、，审查网络负载需求评价终端响应时间和网络数据传输率对于网络负载的影响网络负载平衡措施和改进建议43. 下面哪一项最可能暗示，客户数据仓库应该由内部开发而不是外包给海外运营？时差不同有可能影响 IT 团队的沟通通信费在第一年非常高有关隐私权的法律可能会阻碍信息跨国界传输软件开发需要更详细的说明44.当一名员工被解雇时，需要采取的最重要的行动是:交出全部职工的档案给指定的另一名雇员.完成员工工作的备份.通知其他员工关于该员工的解雇通知.解除该员工的逻辑访问权限.45. 在处理可疑入侵时，一个合理的信息安全策略最有可能包括下列哪一项？反应纠错检测监控46. IS 审计师在审查使用交叉培训做法的组织时

14、，应该评估哪一种风险？对于单个员工的依赖性连续性计划不够充分一个员工了解系统的所有部分错误操作 .47. IS 审计师在审查 IT 设备的外包合同的时候，希望合同确定的是：硬件配置 .访问控制软件 .知识产权的所有权 . 开发应用方法 .48. 设计信息安全政策时，最重要的一点是所有的信息安全政策应该非现场存储 .由 IS 经理签署 written by IS management:分发并传播给用户.经常更新 .49. 当评价组织的 IS 战略时候，下面哪一项 IS 审计师认为是最重要的？获得一线管理人员 line management 的支持不能与 IS 部门初步预算有差异遵守采购程序支持该

15、组织的业务目标50. 缺乏足够的安全控制是一个 :威胁 .资产 .影响 .脆弱性 .51. 对于 IT 安全策略的审计的主要目的是保证策略向所有员工分发，并且每个员工都知道安全和控制策略支持业务和IT 目标有公开发行的组织图表和功能描述适当的职责分离.52. 制订风险管理计划时，首先进行的活动是：风险评估 .数据分类 . 资产清单 . 关键性分析 .53. 当组织外包其信息安全功能时，下面哪一项应该由组织保留？对公司安全策略的责任定义公司安全政策实施公司安全政策定义安全程序和指南54. 风险分析小组很难预测由可能会由风险造成的经济损失，要评估潜在的损失，小组需要：计算有关资产的折旧 .计算投资

16、回报率(ROI).采用定性的方法.花费必要的时间精确计算损失金额55. 以下哪一项是由于对于数据和系统的所有权定义不充分导致的最大的风险？管理协调用户不存在 .无法明确特定用户责任未授权用户可以产生，修改和删除数据审计建议无法实施56. 要支持组织的目标，信息部门应该具有：低成本理念 .长期和短期计划 . 领先的技术 .购买新的硬件和软件的计划 .57. 为降低成本并提高外包的服务水平，外包应该包括以下哪些合同条款？操作系统和软硬件更新的周期共同分享由于提高绩效获得的收益 Gain-sharing performance bonuses 违规处罚费用和可变成本Charges tied to v

17、ariable cost metrics58.有效的 IT 治理要求组织的结构和流程能够确保：组织的战略和目标延伸到IT战略 .业务战略来自于 IT 战略IT 治理独立于并不同于全面治理IT 战略扩大了组织的战略和目标59.全面有效的电子邮件政策应明确电子邮件结构、执行策略、监控和:恢复 .保存 .重建再用60.一个组织有一个集成开发环境，程序库在服务器上，但是修改站上完成，以下哪一项是集成开发环境（）的强项？/ 开发和测试在工作IDE控制程序多个版本的扩散扩展程序资源和可得到的辅助工具增加程序和加工的整体性防止有效的变更被其他修改程序重写61.以下哪一项是计划评审技术(PERT)相比其他方法

18、的优点？与其他方法相比:为计划和控制项目考虑不同的情景允许用户输入程序和系统参数.测试系统维护加工的准确性估算系统项目成本.62. 以下哪一个是操作系统的访问控制功能？记录用户活动记录数据通信访问活动在记录层次确定用户的授权改变数据档案63. 代码签名的目的是为保证 :该软件后来并未改变 .应用程序可以和其他被签署的应用安全交互对应用程序的签名者是被信任的签名者的私钥没有被破坏64. 下列哪些类型防火墙可以最好的防范从互联网络的攻击?屏蔽子网防火墙应用过滤网关包过滤路由器电路级网关65. 重新调整下面哪种防火墙的类型可以防止通过FTP在内部下载文件？电路级网关应用网关包过滤筛选路由器66. 审

19、查广域网 (WAN)的使用中发现在连接两个站点的通信线路中，连接主文件和数据库的线路峰值可以达到信道容量的96%，IS 设计师可以得出结论：需要分析以便确定是否突发模式导致短期内的服务中断广域网的通信能力足以满足最大流量因为没有达到峰值应该立刻更换线路，使通信线路的容量占用率控制在大约85%应该通知用户减少通信流量，或分配其服务时间以便平均使用带宽67. 下列哪些操作系统机制检查主体请求访问和使用的客体（文件、设备、程序）等，以确保请求与安全策略一致？地址解析协议访问控制分析参照监控实时监测68. 当评估 IT 服务交付时，下面哪一项是其中最重要的？记录和分析事件工具所有相关方签署的服务水平协

20、议管理手段的能力问题管理69. 利用审计软件比较两个程序的目标代码是一种审计技术用于测试：逻辑变化效率 .计算 .70. 下列哪些可以用来核查输出结果和控制总数？通过匹配输入数据和控制总数？批标题表单批量平衡数据转换错误更正对于打印缓存的访问控制71. 下面哪一种线路媒介能为网络通信提供最好的安全保证？宽带网络数字传输基带网络拨号专线72. 独立的软件程序连接两个单独的应用系统通过共享计算机资源，这种技术被称为：中间件固件应用软件 .内置系统73. WEB 和电子邮件过滤工具对于组织的最主要的价值是: 保护组织防止病毒和非业务材料 .最大化员工绩效维护本组织的形象.有助于防止组织的法律问题74

21、. 在并行处理环境中最大限度地发挥大型数据库的性能，下面哪一个是用于衡量的指标？磁盘分区镜像hashingDuplexing复用75. 程序员恶意修改程序用于修改数据，然后恢复为原始代码，下面那种方法可以最有效的发现这种恶意行为？比较源代码审查系统日志文件比较目标代码审查可执行代码和源代码的完整性76. 在数据库应用程序的需求定义阶段，绩效被列为重中之重。访问DBMS 文件，下面哪一种技术被建议用于优化I/O 性能？存储区域网络 (SNA)网络存储高度 (NAS)网络文件系统 (NFSv2)通用英特网文件系统（CIFS）77. 在数据库管理系统 (DBMS)中，数据存放的位置和访问方法有以下那

22、一项提供？数据字典 .元数据 .系统目录 .数据定义语言78. 以下哪一种处理过程可以最有效地发现非法软件进入网络？使用无盘工作站定期检查硬盘使用最新的防病毒软件如果违反立即解雇的政策79. 以下是哪一个是其中最好的预防系统弱点暴露的方法？日志监测病毒保护入侵侦测补丁管理80. 以下哪一项是其中最有效的方法对付由于协议的脆弱性导致的网络蠕虫的蔓延？安装卖方对于弱点的修补程序使用防火墙阻塞协议通讯Block the protocol traffic in the perimeter firewall.在内部网段之间阻塞通讯停止服务，直到安装了适当的网络补丁程序81. 在电子商务环境中，最好避免通

23、信失败风险的方法是使用:压缩软件减少传输时间功能或信息认知功能.对于路由信息的包过滤防火墙租用线路异步传输模式.ATM82. 在 WEB 服务器上，通用网关接口常用于：使用一致的方式传输数据给应用程序并返回用户 . 对于电影电视的计算机图形图象网站设计的图形用户界面访问私有网关域的接口83. 在审查系统参数时，审计师首先应关注:参数设置符合安全性和性能要求变更被记入审计轨迹并定期审查变更被合适的文档进行授权和支持对系统中参数的访问被严格限制84. 地点 3A、 3D、 1D，图表显示集线器是开放的并且是活动的，如果情况属实，什么控制应该被建议用来减轻弱点？智能集线器集线器的物理安全物理安全和智

24、能集线器不用控制因为没有弱点85. 审计师分析数据库管理系统的审计日志，发现一些交易被部分执行导致错误，而且没有回滚，违反了下面哪一项交易特征？一致性独立性耐久性原子性Atomicity86. 以下哪一种控制方法最有效的保证产品源代码和目标代码是一致的？Release-to-release 源代码和目标代码比较报告库控制软件严格限制对于源代码的改变严格限制访问源代码和目标代码对于源代码和目标代码的数据和时间戳审查87. 当评估英特网服务商提供的服务时，下面哪一项最重要？ISP 产生的业绩报告服务水平协议 (SLA)采访供应商与 ISP 的其他客户访谈88. 下面哪一个报告 IS 审计师可以用来

25、检查服务水平协议与需求的一致性？使用报告硬件错误报告系统日志可用性报告89. 在客户机服务器结构中，域名服务(DNS)是最重要的因为它提供了 : 域名服务器的地址解决了名字与地址的转换服务互联网的 IP 地址 .域名系统 .90. 允许访问低层和高层网络服务的接口被称为：固件中间件X.25 接口工具91. IS 管理者确定的变更管理程序是 :控制应用程序从测试环境到生产环境的转移控制从缺乏重视到未解决问题引起的业务中断确保业务在遇到灾难时候不中断确保系统变更被合适的纪录92. 以下哪一项是对数据库管理员行为的控制？系统故障后，数据库检查点的重启过程数据库压缩以便减少使用空间监督审查访问日志备份

26、和恢复程序，确保数据库可用性93. 组织希望实施的完整性原则的目的是,实现提高数据库应用中的性能，应该应用下面哪一种设计原则？用户触发 (客户 )前端验证数据结束后验证数据参照完整性94. 下列控制哪一个为数据完整性提供了最大的保证？审计日志程序联系参照检查表队列访问时间检查表回滚和前向数据库特点Rollback and rollforward database features95. 下列哪些类型的防火墙提供最大程度的控制力度？过滤路由器包过滤应用网关电路网关96. 供应商发布补丁程序修补软件中的安全漏洞，IS 审计师在这种情况下应该如何建议？在安装前评估评估补丁的影响要求供应商提供了一个包

27、括所有更新补丁新的软件版本立即安装安全补丁.在以后减少处理这些供应商97. 以下哪一个是检查擅自改变了生产环境的控制？禁止程序员访问产品数据要求变更管理的分析包括成本效益定期控制比较当前目标和源程序确立紧急变更的处理程序98. 以下哪一个成为网络管理的重要组成部分被广泛接受？配置管理拓扑映射应用监视器代理服务器发现困难99. 有线以太网在网络中使用非屏蔽双绞线超过100 米，由于电缆的长度可能造成以下的情况：电磁干扰 (EMI)Cross-talkDispersion分散Attenuation减弱100. 下面哪一个通常会在应用运行手册中发现？:源文件细节密码错误和发现的行为程序流程图和文件定

28、义应用源代码的变更纪录101. IS 审计师审查数据库控制发现在正常工作时间对数据库的修改需要一系列标准程序，然而，正常时间之外，只需要很少步骤的操作就可以完成变更，对于这种情况，应该考虑增加下面哪一项补偿控制？只允许数据库管理员帐户进行修改在对正常账户授权后，才可修改数据库使用 DBA 帐户修改，记录修改并日后审查修改日志使用一般用户帐户进行修改，记录修改并日后审查修改日志102. 以下哪一种硬件设施可以缓解中心服务器从事网络管理、信息处理、格式转换工作？Spool簇控制器协议转换器前端处理器103. 在客户服务体系，以下哪种技术用于检测已知和未知用户的活动？diskless 工作站数据加密

29、技术网络监控设备认证制度104. IS 审计师评价高度可用性网络的可靠性应该最关注：安装在地理上分散 .网络服务器集中在一个地点 . 准备热站为网络实施多路由105. 使用闪存的最重要的安全问题是:contents are highly volatile 内容可靠数据无法备份数据可以复制 .装置可能与其它设备不兼容.106. 防火墙的一个重要功能是作为:特殊路由器连接局域网到互联网.装置防止授权用户进入局域网.服务器用于连接授权用户到私人的,可信任的网络资源.代理服务器提高授权用户的访问速度107. 管理 cyberattack 风险的第一步是 :评估弱点的影响评估威胁的可能性确认关键信息资产

30、评估潜在的破坏108. 以下哪种方式是最有效的手段确定操作系统功能正常运行？与供应商协商审查供应商安装指南咨询系统程序员审查系统产生参数109. 大型组织的 IT 运营被外包。 IT 审计师审查外包业务应该最关注以下哪些发现？外包协议没有包括对于 IT 运营的灾难恢复计划服务提供商没有意外事件处理程序 .由于程序库管理问题，被破坏的数据库没有恢复没有审查意外事件110. ping 命令用来衡量 : 减弱 .吞吐量 , 延迟扭曲 . 反应时间 .111. 下面哪一个被视为网络管理系统的基本特征. 映射网络拓扑结构的图形界面与互联网交互解决问题的能力对于棘手问题的帮助台的连通表格管道数据的输出能力

31、An export facility for piping data to spreadsheets112. 数据库系统中协同控制的目标是：限制授权用户更新数据库 .防止完整性问题，当两个进程试图更新相同数据时 . 防止意外或未经授权泄露数据资料库 .确保数据的准确性、完整性和数据的一致性.113. 公司积极推行动态主机协议 (DHCP). 由于存在下列条件，应该给与最大关注的是：大部分员工使用笔记本电脑.使用包过滤防火墙.IP 地址的空间小于PC 数量 .访问网络端口不受限制114. 确定如何通过不同的平台在异类环境中获取数据，IS 审计师首先应该审查 : 业务软件 .基础设施平台工具 .

32、应用服务 .系统开发工具 .115. 以下基于系统的方法，公司财务处理人员可以可以监控支出模式确定异常并报告？一个神经网络数据库管理软件管理信息系统计算机辅助审计技术116. 库控制软件的目标是之一是允许：程序员访问产品源代码和目标数据库批量程序升级操作员在测试完成之前升级控制库和产品版本只读方式获取源代码 .117. 以下哪一个报告可以衡量通讯传输和传输的完成的正确性？在线监测报告故障报告服务台报告反应时间报告118. 考虑将应用程序从测试环境转换到生产环境，提供的最好的控制是：应用程序员拷贝源程序并编译目标代码到生产库中应用程序员拷贝源程序到产品库，生产控制组编译源程序生产控制组编译目标模

33、块到生产库中，使用测试环境中的源代码生产控制组拷贝源程序到生产库中，然后编译源程序119. 下面哪一个直接受到网络性能监控工具的影响？完整性可用性完全性机密性120. 电子数据交换过程中，接收并传送电子文件的是:通讯处理器communications handlerEDI 转换器 .应用接口 .EDI 接口 .121. 下列哪些控制可以最有效的发现网络传输错误？奇偶校验回声检查阻塞总数检查循环冗余检查122. 在多供应商网络环境中共享数据，关键是实施程序到程序的通讯。考虑到程序到程序通讯的特点，可以在环境中实施，下面哪一个是实施和维护的困难？用户隔离远程存取控制透明的远程访问网络环境 .123

34、.数据库管理员建议要提高关系数据库的性能可以denormalizing一些表，这可能导致：保密性损失 .增加冗余非授权访问应用故障124.ISO/OSI 参考模型的哪一层提供两点之间的信息包路径？数据链路层网络层传输层会话层125.组织将其网络维护应用从组织外界转为组织内部，下面哪一项是IS 审计师要关注的主要内容？回归测试工作安排用户手册变更控制程序126. 下面哪一项可以将电子邮件从一个网络传送到另一个格式，使信息可以穿过网络？网关协议转换器前端处理机集中器 /复用器127.检查授权软件基线主要是解决下面哪一个问题？项目管理配置管理问题管理风险管理128.在一个小型组织内，雇员进行计算机操

35、作，根据情况需要改变程序。IS 审计师应该作出下面哪一项建议？自动记录开发程序库的变更情况提供额外人手进行职责分工只实施经过批准的变更程序访问控制，防止程序员改变程序129. 下列哪些与脱机打印敏感报告相关的风险，IS 审计师认为是最严重的？操作员可以读取敏感数据数据可以擅自修改 . 报告副本可擅自印制 .在系统故障时，可能丢失输出数据130. 当审查局域网实施时， IS 审计师应该首先审查：节点列表验收报告网络图 .用户列表131. 有利于服务质量 (QoS)是:整体网络的可用性和性能大大改善 .电信承运人将为公司提供准确的服务水平的遵守情况报告.申请人保证服务水平通信联系被安全控制执行，以

36、保障网上交易的安全性.132. 保留档案是为了保证: Applying a retention date on a file will ensure that:不能读数据 直到确定日期.,数据在日期之前不会被删除备份在日期之后不再保留备份区分名字相同的数据集133. 阻塞控制最好由 OSI 协议的哪一层控制？数据链路层会话层传输层网络层134. 下列哪些有助于发现对于服务器的日志入侵造成的变化？在另一个服务器作镜像在一次性写入的磁盘上同步记录系统日志对系统日志写保护异地存储系统日志的备份135.审计师发现几个计算机连接互联网的安全水平较低，允许自由记录cookie，由于cookie 存放下面哪

37、一项可能造成的风险？关于因特网网址的信息关于用户资料的信息关于网络连接的信息互联网页 .136.应该对 WEB 服务器部署反代理服务器技术，如果:必须隐藏 HTTP 服务器地址 .需要加速访问所有发布的网页需要缓存进行容错用户带宽受到限制137.在审查了防火墙后， ,审计师应该最关心以下哪一项？明确定义的安全政策实施防火墙用最新、最可靠的算法执行有效的防火墙的安全政策防火墙安装的平台的安全性138. 企业使用下面哪一项可以使其业务伙伴通过互联网访问其内部网？虚拟专用网客户机服务器拨号访问网络服务提供商139. 下列哪些类型的传输媒介提供对于非授权访问的最安全的防范？铜线双绞线光缆线路同轴电缆1

38、40. 以下是哪一个是邮件服务器用来发送垃圾邮件最有可能的原因？安装开放应答服务Installing an open relay server使用邮局协议 (POP3)使用简单的邮件传输(SMTP)活动用户账户141. 参照完整性约束包括：确保交易过程完整性确保数据通过触发更新 .确保控制用户升级数据库设计表和查询的规则142. IS 审计师对系统独立进行分类，考虑到一种情况是可以以可容忍的成本在一段时间内手工完成的功能是：关键重要敏感不重要143. 下面哪一项可以确认攻击，和对网络的试图攻击行为？防火墙封包过滤器状态检查器入侵检测系统 (IDS)144. 黑客可以不通过使用计算机工具或程序的

39、方法得到密码的技术是通过：社会工程 .监听器 .走后门 .木马 .145. 非现场的信息处理设备 :应该和实际处理站点具有同样的数量的物理访问限制应该很容易从外界辨别，以便发生灾难时，便于找到应该距离原站点附近，便于尽快开始运作不要要有和原站点同样级别的环境监控146. 准备灾难恢复计划时，下列任务哪一项应该应先完成?建立恢复策略 .进行业务影响分析.map 系统软件、硬件、网络构成.任命恢复小组，明确恢复人员角色和等级.147. 下面哪一个可以支持 7/24 可用性 ? 每日备份异地备份镜像定期检验 .148. 组织在广泛的地理区域内设立办事处，该组织制订了灾难恢复计划。利用实际资源,以下哪

40、一个是对 DRP 最符合成本效益的测试 ?全面业务测试Preparedness test 准备测试文件测试回归测试149. IS 审计师审计业务连续性计划，以下哪一个是其中最重要的结果?没有替换的PBX系统缺乏骨干网的备份缺乏对用户PC 的备份系统失败的卡片识别系统150. IS 审计师审查备份的处理设备，最应该关注：有足够的保险 .进行硬件的日常维护对于交易和档案的异地存储备份的加工设备，经过全面检验 .151. 组织的财务系统的灾难恢复计划，指出，回收点目标(RPO)没有数据损失和恢复时间目标是 72 小时。以下最符合成本效益的解决方案是?8 小时内即可运行的热站，和同步备份交易日志位于多

41、个地点的分布式数据库系统异步更新数据同步更新，在热站的备用系统远程同步数据拷贝的温站，可以在48 小时内运行152. 业务连续性和灾难恢复计划的主要目标是应该是:保护关键财产 .提供业务的连续性 .最小化组织的损失 .保护人的生命 .153. IS审计师指出组织对于每个单独的处理都有足够的业务连续性计划，但是(BCPS)没有综合的。对审计师来说最好的做法是：BCP建议增设另外的综合BCP.判断是否 BCP是一致的书面同意这些 BCP.建议建立一个单一的BCP.154. 在实施灾难恢复计划后，组织运作成本将:下降 .不变增加 .增加或减少取决于业务的性质.155. 在生产环境中，以下哪一个是确定每一个应用系统关键程度的最好的方法？采访应用程序员 .进行差距分析 .审查最近的应用审计进行业务影响分析 .